Beleid inzake beheer van verwerkers, subverwerkers en privacyrelaties met derde partijen

Het Beleid inzake beheer van verwerkers, subverwerkers en privacyrelaties met derde partijen definieert hoe een organisatie externe partijen bestuurt die persoonlijk identificeerbare informatie (PII) verwerken, openen, ontvangen, opslaan, verzenden, ondersteunen of anderszins behandelen binnen het toepassingsgebied van het privacy-informatiemanagementsysteem. Het is van toepassing wanneer de organisatie optreedt als verwerkingsverantwoordelijke die verwerkers gebruikt voor persoonlijk identificeerbare informatie (PII), als gezamenlijke verwerkingsverantwoordelijke waarvoor rolclassificatie vereist is, als verwerker die subverwerkers of onderaannemers gebruikt, en als subverwerker die klantinstructies ontvangt. Het beleid omvat ook relaties met derde partijen waarvoor privacyzorgvuldigheidsonderzoek, contractuele beheersmaatregelen, gedocumenteerde instructies, goedkeuring van subverwerkers, monitoring, assurance, incidentinterface, doorgiftekoppeling, teruggave, verwijdering of exitbewijsmateriaal vereist is. Een kernkenmerk van het beleid is de afhankelijkheid van REG08 — Verwerkers-, subverwerkers- en gegevensdelingsregister — als primair bewijsobject voor het beheer van verwerkers, subverwerkers en privacyrelaties met derde partijen. Het beleid vereist dat de Privacy Lead / PIMS-manager minimale REG08-velden definieert en privacyrelaties met derde partijen classificeert als verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker, subverwerker of andere relatie met een derde partij vóór contractgoedkeuring of voordat de verwerking van persoonlijk identificeerbare informatie (PII) begint. Het vereist ook dat de Leveranciers-/Inkoopeigenaar onboarding, verlenging of uitbreiding blokkeert totdat REG08 is voltooid en gekoppeld aan registraties zoals REG02, REG04, REG09 of REG10 wanneer die bewijsobjecten worden geactiveerd. Dit creëert een gedocumenteerde koppeling tussen relatiegovernance, verwerkingsinventaris, risico- en DPIA-registraties, bewijsmateriaal voor internationale doorgiften, incidentregistraties en corrigerende maatregelen. Het beleid stelt gedetailleerde vereisten voor zorgvuldigheidsonderzoek, risicobeoordeling en contractuele beheersing. Privacyzorgvuldigheidsonderzoek moet worden voltooid voordat een verwerker, subverwerker of relatie met een derde partij die persoonlijk identificeerbare informatie (PII) verwerkt of opent, wordt geselecteerd, verlengd of wezenlijk gewijzigd. Bewijsmateriaal voor beveiligingsassurance moet vóór goedkeuring door de informatiebeveiligingsverantwoordelijke worden beoordeeld, en verwerkersrelaties met een hoog risico of wezenlijke privacywijzigingen bij een derde partij activeren privacyrisico- en DPIA-screening in REG04. Contractuele beheersmaatregelen en beheersmaatregelen voor gedocumenteerde instructies worden gescheiden voor contexten van de verwerkingsverantwoordelijke en de verwerker. Wanneer de organisatie optreedt als verwerkingsverantwoordelijke, moet zij een schriftelijk verwerkerscontract of een gelijkwaardige bindende overeenkomst vastleggen voordat een verwerker persoonlijk identificeerbare informatie (PII) behandelt. Wanneer de organisatie optreedt als verwerker, moeten klantovereenkomsten of gedocumenteerde klantinstructies het geautoriseerde verwerkingsbereik definiëren voordat persoonlijk identificeerbare informatie (PII) van klanten wordt verwerkt. Het beleid vereist ook contractdekking voor bijstand, beveiligingsassurance, incidentinterface via PII15, teruggave of verwijdering via PII10, doorgiftekoppeling via PII13 en samenwerking bij audits of assurance. Governance van subverwerkers en onderaannemers wordt behandeld via specifieke vereisten voor goedkeuring, kennisgeving, doorlegverplichtingen en monitoring. De Leveranciers-/Inkoopeigenaar moet in REG08 een lijst van subverwerkers en onderaannemers bijhouden, klantautorisatie verifiëren vóór inschakeling, klanten informeren over voorgenomen nieuwe of vervangende subverwerkers overeenkomstig de toepasselijke overeenkomst, en zorgen voor doorlegverplichtingen inzake privacy, beveiliging, bijstand, teruggave, verwijdering, incidentinterface en doorgiftekoppeling voordat een subverwerker persoonlijk identificeerbare informatie (PII) verwerkt. Kennisgevingen over wijzigingen van subverwerkers aan de zijde van de verwerkingsverantwoordelijke moeten eveneens worden gevolgd, waarbij goedkeurings-, bezwaar- of escalatiebesluiten in REG08 worden vastgelegd binnen de contractuele bezwaarperiode of binnen 10 werkdagen na ontvangst van de kennisgeving, indien die termijn korter is. Het beleid voltooit de levenscyclus met doorlopende monitoring, afhandeling van bijstandsverzoeken, registratie van verstrekkingen, incidentkoppeling, doorgiftekoppeling, exitbewijsmateriaal, uitzonderingen, handhaving en beoordeling. Verwerkers- en subverwerkersrelaties met een hoog risico worden per kwartaal gemonitord, terwijl andere actieve verwerkers- en subverwerkersrelaties met persoonlijk identificeerbare informatie (PII) jaarlijks worden gemonitord. Bijstandsverzoeken voor rechten van betrokkenen, DPIA's, beveiligingsbewijsmateriaal, audits of klantassurance moeten via REG08 worden gecoördineerd en, waar van toepassing, worden gekoppeld aan REG06, REG04 of REG12. Kennisgevingen van leveranciersgerelateerde privacy-incidenten worden binnen één werkdag naar REG10 onder PII15 geleid, en bewijsmateriaal voor teruggave, verwijdering, afvoer of transitie moet binnen 30 dagen na beëindiging, afloop, klantinstructie of goedgekeurde exitgebeurtenis worden verkregen, tenzij een kortere contractuele termijn van toepassing is. Uitzonderingen zijn tijdbeperkt, vereisen een privacy-impactbeoordeling en kunnen goedkeuring van topmanagement vereisen wanneer verwerking met een hoog risico, ontbrekend contractueel bewijsmateriaal, hiaten in doorgiftekoppeling of het certificeringstoepassingsgebied worden geraakt.